Glossar: Cybersicherheit, Compliance und Krisenübung
NIS2 & KRITIS
NIS2-Richtlinie
Die NIS2-Richtlinie (EU) 2022/2555 ist der EU-weite Rechtsrahmen für Cybersicherheit. Sie erweitert den Kreis regulierter Sektoren und verschärft die Pflichten zu Risikomanagement, Meldung und Governance.
Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555 · → Ausführlich
NIS2UmsuCG
Das NIS2-Umsetzungsgesetz (BGBl. 2025 I Nr. 301) ist das deutsche Gesetz zur Umsetzung der NIS2-Richtlinie, in Kraft seit 6. Dezember 2025. Kernstück ist das neu gefasste BSI-Gesetz mit Registrierungs-, Risikomanagement-, Melde- und Geschäftsleitungspflichten.
Auch: NIS2-Umsetzungsgesetz. Stand: 07/2026 · Quelle: BGBl. 2025 I Nr. 301
NISG 2026
Das NISG 2026 (BGBl. I Nr. 94/2025) setzt die NIS2-Richtlinie in Österreich um und tritt am 1. Oktober 2026 in Kraft. Es regelt Registrierung, Risikomanagement, Selbstdeklaration, Meldepflichten und Strafen für wesentliche und wichtige Einrichtungen.
Auch: Netz- und Informationssystemsicherheitsgesetz 2026. Stand: 07/2026 · Quelle: RIS: BGBl. I Nr. 94/2025 · → Ausführlich
Besonders wichtige Einrichtung
Eine besonders wichtige Einrichtung ist die höchste NIS2-Kategorie – große Unternehmen in hochkritischen Sektoren. Sie unterliegt proaktiver Aufsicht und dem höchsten Bußgeldrahmen.
Auch: wesentliche Einrichtung. Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555
Wichtige Einrichtung
Eine wichtige Einrichtung ist die zweite NIS2-Kategorie, meist mittelgroße Unternehmen oder Einrichtungen in sonstigen kritischen Sektoren. Sie unterliegt reaktiver Aufsicht und einem niedrigeren Bußgeldrahmen.
Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555
NIS2-Betroffenheit
Die NIS2-Betroffenheit ergibt sich aus zwei Kriterien: Tätigkeit in einem erfassten Sektor und Überschreiten der Größenschwellen (in der Regel ab 50 Beschäftigten oder 10 Mio. € Umsatz).
Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555 · → Ausführlich
Size-cap-Regel
Die Size-cap-Regel knüpft die NIS2-Betroffenheit grundsätzlich an die Unternehmensgröße: Erst ab mittlerer Größe greift die Richtlinie – mit Ausnahmen für größenunabhängig erfasste Einrichtungen.
Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555
Meldekette (24h/72h/1M)
Die NIS2-Meldekette staffelt die Vorfallmeldung: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht binnen eines Monats nach Kenntnis eines erheblichen Vorfalls.
Auch: Meldepflicht, Art. 23. Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555
NIS2-Registrierung
Betroffene Einrichtungen müssen sich bei der zuständigen Behörde – in Deutschland dem BSI – registrieren und Stammdaten wie Sektor, Kontaktstelle und erbrachte Dienste bereitstellen.
Stand: 07/2026 · Quelle: BSI: NIS-2 · → Ausführlich
Geschäftsleitungspflicht
NIS2 nimmt die Leitungsorgane in die Pflicht: Sie müssen die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und geschult werden – mit persönlicher Verantwortlichkeit bei Verstößen.
Auch: Art. 20. Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555
KRITIS
KRITIS bezeichnet Anlagen von hoher Versorgungsrelevanz, deren Betreiber nach deutschem Recht besondere Sicherheits- und Nachweispflichten gegenüber dem BSI erfüllen müssen.
Auch: Kritische Infrastrukturen. Stand: 07/2026 · Quelle: BSI: NIS-2 · → Ausführlich
Zuständige Behörde
Die zuständige Behörde überwacht die Einhaltung von NIS2 und nimmt Vorfallmeldungen entgegen. In Deutschland ist dafür in weiten Teilen das BSI verantwortlich.
Stand: 07/2026 · Quelle: BSI: NIS-2
DORA
DORA-Verordnung
DORA (Verordnung (EU) 2022/2554) schafft einen einheitlichen Rahmen für die digitale operationale Resilienz des EU-Finanzsektors und gilt seit dem 17. Januar 2025 unmittelbar.
Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554 · → Ausführlich
IKT-Risiko
IKT-Risiko ist das Risiko von Störungen der Informations- und Kommunikationstechnik, etwa durch Ausfälle oder Cyberangriffe. DORA verlangt einen dokumentierten Rahmen zu seiner Steuerung.
Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554
IKT-Drittdienstleister
Ein IKT-Drittdienstleister erbringt IT-Dienste (z. B. Cloud) für Finanzunternehmen. DORA regelt solche Auslagerungen streng; als kritisch eingestufte Anbieter unterliegen einer direkten EU-Aufsicht.
Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554
TLPT
Threat-Led Penetration Testing sind bedrohungsorientierte Penetrationstests an produktiven, kritischen Systemen. DORA verlangt sie für bedeutende Institute in der Regel mindestens alle drei Jahre.
Auch: Threat-Led Penetration Testing. Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554 · → Ausführlich
TIBER-EU
TIBER-EU ist der von der Europäischen Zentralbank entwickelte Rahmen für bedrohungsgeleitete Red-Team-Tests. Er dient als methodische Grundlage für das TLPT unter DORA.
Stand: 07/2026 · Quelle: ECB: TIBER-EU
Digitale operationelle Resilienz
Digitale operationale Resilienz ist die Fähigkeit eines Finanzunternehmens, IKT-Störungen nicht nur abzuwehren, sondern durchzuhalten und sich davon zu erholen – das Kernziel von DORA.
Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554
Schwerwiegender IKT-Vorfall
Ein schwerwiegender IKT-Vorfall ist eine Störung mit erheblichen negativen Auswirkungen auf kritische Funktionen eines Finanzunternehmens. DORA verlangt seine gestaffelte Meldung an die zuständige Behörde.
Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554
ISO 27001 & TISAX
ISMS
Ein Informationssicherheits-Managementsystem ist der systematische Rahmen aus Leitlinien, Prozessen und Kontrollen zur Steuerung der Informationssicherheit – zertifizierbar nach ISO/IEC 27001.
Auch: Informationssicherheits-Managementsystem. Stand: 07/2026 · Quelle: ISO/IEC 27001
Statement of Applicability
Das Statement of Applicability (SoA) dokumentiert, welche Annex-A-Controls der ISO 27001 anwendbar sind, wie sie umgesetzt werden, und begründet etwaige Ausschlüsse.
Auch: SoA, Erklärung zur Anwendbarkeit. Stand: 07/2026 · Quelle: ISO/IEC 27001
Annex-A-Controls
Annex A der ISO/IEC 27001:2022 listet 93 Sicherheitscontrols in vier Themen – organisatorisch, personell, physisch und technologisch –, aus denen Organisationen risikobasiert auswählen.
Stand: 07/2026 · Quelle: ISO/IEC 27001
Risikobehandlung
Die Risikobehandlung wählt für jedes identifizierte Informationssicherheitsrisiko eine Option: reduzieren, akzeptieren, vermeiden oder übertragen – ein Kernschritt des ISMS-Risikomanagements nach ISO 27001.
Stand: 07/2026 · Quelle: ISO/IEC 27001
TISAX
TISAX (Trusted Information Security Assessment Exchange) ist der Prüf- und Austauschmechanismus der Automobilindustrie für Informationssicherheit, betrieben von der ENX Association auf Basis des VDA-ISA.
Stand: 07/2026 · Quelle: ENX: TISAX · → Ausführlich
VDA ISA
Der VDA-ISA (Information Security Assessment) ist der Prüfkatalog des Verbands der Automobilindustrie, auf dem TISAX-Assessments beruhen. Er basiert auf ISO 27001 mit branchenspezifischen Ergänzungen.
Stand: 07/2026 · Quelle: ENX: TISAX
TISAX Assessment Level
Das TISAX Assessment Level (AL1–AL3) bestimmt die Prüftiefe nach Schutzbedarf: AL1 Selbstauskunft, AL2 mit Plausibilisierung, AL3 mit Vor-Ort-Audit für streng vertrauliche Informationen.
Auch: AL1, AL2, AL3. Stand: 07/2026 · Quelle: ENX: TISAX
BCM & Wiederanlauf
BCM
Business Continuity Management ist der Managementprozess, der kritische Prozesse identifiziert und absichert, damit eine Organisation Störungen übersteht und definierte Wiederanlaufzeiten einhält.
Auch: Business Continuity Management. Stand: 07/2026 · Quelle: BSI-Standard 200-4 · → Ausführlich
BIA
Die Business Impact Analyse untersucht, welche Prozesse kritisch sind und welche Folgen ihr Ausfall über die Zeit hat. Sie liefert die Kennzahlen MTPD, RTO und RPO.
Auch: Business Impact Analyse. Stand: 07/2026 · Quelle: NIST SP 800-34 Rev. 1 · → Ausführlich
RTO
Das Recovery Time Objective ist die Zielzeit, bis ein Prozess nach einer Störung wieder laufen muss. Es blickt vom Störungszeitpunkt nach vorn und muss unter dem MTPD liegen.
Auch: Recovery Time Objective. Stand: 07/2026 · Quelle: NIST SP 800-34 Rev. 1 · → Ausführlich
RPO
Das Recovery Point Objective ist der maximal tolerierbare Datenverlust, gemessen als Zeitraum vor der Störung. Es bestimmt die nötige Backup- und Replikationsfrequenz.
Auch: Recovery Point Objective. Stand: 07/2026 · Quelle: NIST SP 800-34 Rev. 1 · → Ausführlich
MTPD
Die Maximum Tolerable Period of Disruption ist die maximal tolerierbare Ausfalldauer eines Prozesses, ab der der Schaden existenzbedrohend wird. Das RTO muss darunter liegen.
Auch: MTA, maximal tolerierbare Ausfalldauer. Stand: 07/2026 · Quelle: ISO 22301
Notfallplan
Ein Notfallplan (Business Continuity Plan) beschreibt konkret, wie der Betrieb bei einer Störung aufrechterhalten und wiederangefahren wird – inklusive Rollen, Sofortmaßnahmen und Wiederanlaufschritten.
Auch: BCP, Business Continuity Plan. Stand: 07/2026 · Quelle: BSI-Standard 200-4
Wiederanlauf
Wiederanlauf bezeichnet die geordnete Wiederherstellung eines gestörten Prozesses oder Systems bis zum Normalbetrieb – gesteuert über Prioritäten, RTO und definierte Wiederanlaufpläne.
Stand: 07/2026 · Quelle: BSI-Standard 200-4
ISO 22301
ISO 22301 ist der internationale, zertifizierbare Standard für Business-Continuity-Managementsysteme. Er fordert BIA, Continuity-Strategie, Notfallpläne und ein regelmäßiges Übungsprogramm.
Stand: 07/2026 · Quelle: ISO 22301 · → Ausführlich
BSI-Standard 200-4
Der BSI-Standard 200-4 ist der deutsche Praxisleitfaden für den Aufbau eines Business Continuity Managements – ein stufenweises Modell und Nachfolger des BSI-Standards 100-4.
Stand: 07/2026 · Quelle: BSI-Standard 200-4
Notbetrieb
Notbetrieb ist der reduzierte Betriebsmodus, in dem nur die kritischsten Leistungen auf einem Mindestniveau (MBCO) erbracht werden, bis der Normalbetrieb wiederhergestellt ist.
Auch: MBCO. Stand: 07/2026 · Quelle: BSI-Standard 200-4
Incident Response
Incident Response
Incident Response ist der strukturierte Umgang mit Sicherheitsvorfällen: erkennen, eindämmen, beseitigen und nachbereiten – meist entlang des Lebenszyklus der NIST SP 800-61.
Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3
IR-Plan
Ein Incident-Response-Plan ist der dokumentierte Handlungsrahmen für Sicherheitsvorfälle: Rollen, Eskalation, Kommunikation, Meldepflichten und szenariospezifische Playbooks.
Auch: Incident-Response-Plan. Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3 · → Ausführlich
Runbook
Ein Runbook ist eine detaillierte, schrittweise Handlungsanweisung für eine wiederkehrende technische Aufgabe – im Incident-Kontext etwa das kontrollierte Isolieren eines kompromittierten Systems.
Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3
Playbook
Ein Playbook bündelt die Reaktionsschritte für ein bestimmtes Vorfallszenario (z. B. Ransomware, Datenleck): Erkennungssignale, Sofortmaßnahmen, Eindämmung, Wiederherstellung und Meldepflichten.
Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3
Eskalationsmatrix
Eine Eskalationsmatrix legt fest, ab welchem Schweregrad ein Vorfall an wen eskaliert wird – mit Ansprechpartnern, Erreichbarkeiten und Reaktionszeiten rund um die Uhr.
Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3
Krisenstab
Der Krisenstab ist das temporäre Führungsgremium, das bei einer schweren Störung Entscheidungen bündelt, Maßnahmen steuert und die interne wie externe Kommunikation verantwortet.
Stand: 07/2026 · Quelle: BSI-Standard 200-4
CSIRT
Ein CSIRT (Computer Security Incident Response Team) ist das Team, das Sicherheitsvorfälle bearbeitet – von der Analyse über die Eindämmung bis zur Nachbereitung.
Auch: CERT. Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3
SOC
Ein Security Operations Center überwacht Sicherheitsereignisse rund um die Uhr, analysiert sie und übergibt bestätigte Vorfälle an die Incident Response.
Auch: Security Operations Center. Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3
NIST-IR-Lebenszyklus
Der NIST-Incident-Response-Lebenszyklus (SP 800-61) gliedert die Reaktion in vier Phasen: Vorbereitung; Erkennung & Analyse; Eindämmung, Beseitigung & Wiederherstellung; sowie Nachbereitung.
Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3
Lessons Learned
Lessons Learned sind die aufbereiteten Erkenntnisse aus einem Vorfall oder einer Übung, die in Prozesse, Pläne und Schulungen zurückfließen – meist Ergebnis eines After-Action Reviews.
Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3
Tabletop- & Übungsmethodik
Tabletop Exercise
Eine Tabletop Exercise ist eine diskussionsbasierte Übung, in der ein Team ein realistisches Krisenszenario am Tisch durchspielt, Entscheidungen trifft und Abläufe wie die Meldekette erprobt.
Stand: 07/2026 · Quelle: NIST SP 800-84 · → Ausführlich
Cyber-Krisenübung
Eine Cyber-Krisenübung trainiert die Reaktion auf einen schweren Cybervorfall über den technischen Rahmen hinaus – inklusive Führung, Krisenstab, Kommunikation und Entscheidungsfindung unter Druck.
Stand: 07/2026 · Quelle: NIST SP 800-84 · → Ausführlich
MSEL
Die Master Scenario Events List ist das Drehbuch einer Übung: die zeitlich geordnete Liste der Ereignisse und Injects mit erwarteter Reaktion, an der die Leistung gemessen wird.
Auch: Master Scenario Events List. Stand: 07/2026 · Quelle: NIST SP 800-84 · → Ausführlich
Inject
Ein Inject ist ein während einer Übung eingespielter Reiz – eine Meldung, Nachricht oder Lageänderung –, der eine Reaktion des Teams auslöst und die Szenariodynamik vorantreibt.
Stand: 07/2026 · Quelle: NIST SP 800-84
AAR
Ein After-Action Review ist die strukturierte Auswertung nach Übung oder Vorfall entlang vier Leitfragen: Was sollte passieren, was geschah tatsächlich, warum, und was verbessern wir?
Auch: After-Action Review. Stand: 07/2026 · Quelle: NIST SP 800-84 · → Ausführlich
Facilitator
Der Facilitator moderiert eine Tabletop-Übung: Er spielt Injects ein, hält das Szenario in Fluss, stellt Leitfragen und sorgt für eine wertfreie Auswertung.
Auch: Übungsleiter. Stand: 07/2026 · Quelle: NIST SP 800-84
Übungsziel
Ein Übungsziel legt fest, welche Fähigkeit eine Übung prüfen soll – etwa die Meldekette oder die Entscheidungsfindung im Krisenstab. Klare Ziele machen den Übungserfolg messbar.
Stand: 07/2026 · Quelle: NIST SP 800-84
ENISA Exercise Methodology
Die ENISA Cybersecurity Exercise Methodology ist der Methodenrahmen der EU-Cybersicherheitsagentur für Planung, Durchführung und Auswertung von Cyberübungen.
Stand: 07/2026
ECSF
Das European Cybersecurity Skills Framework der ENISA beschreibt zwölf typische Cybersicherheits-Rollen mit Aufgaben und Kompetenzen – nützlich zur Rollenverteilung in Übungen.
Auch: European Cybersecurity Skills Framework. Stand: 07/2026
Hotwash
Ein Hotwash ist die kurze, unmittelbare Nachbesprechung direkt nach einer Übung, solange die Eindrücke frisch sind – die schnelle Vorstufe zum ausführlichen After-Action Review.
Stand: 07/2026 · Quelle: NIST SP 800-84